收了贖金還撕票？世界安全專家已不能忍，合力對抗勒索軟件 | RSA 2017

雷鋒網編輯知道，勒索軟件不給讀者個人造成點什么影響，你們是不會關注的。

可是，一個重要風向標來了——以商業感著稱的安全會議 RSA 今年也許嗅到了一絲商機，DATA、CLOUD、THREAT、INTELLIGENCE 等一直是近幾年的熱點領域，從過去兩天的大會議題來看，今年又多了一個熱點——勒索軟件，RSA  2017 著重對勒索軟件設置了討論議程。

這意味著，童鞋們，勒索軟件真的離我們凡人很近了呀！

此事的重要性經過了 FBI 的認證。

據 FBI 發布的信息來看，2016 年 Q1 發生的網絡勒索事件中，被攻擊者向黑客支付的贖金就超過 2 億美元，而 2015 年一整年僅有 2400萬 美元。卡巴斯基實驗室 IT 威脅演化 2016 第三季度報告顯示，遭受加密勒索軟件攻擊的互聯網用戶數量增長了超過 2 倍,達到 821865 人。賽門鐵克按照年份統計的勒索軟件，上漲趨勢也非常明顯。

圖表可能讓人感受更強烈一點。下圖是賽門鐵克按照年份統計的勒索軟件名稱，喲喲喲，越來越密集了呢！

勒索軟件能夠如此猖獗，很大一部分原因在于它采用社交工程迷惑用戶，病毒借助惡意郵件對受害者狂轟濫炸以達到非法侵入目的。

勒索軟件是怎么施展比九尾狐妖更厲害的“魅惑術”的呢？（對不起，編輯最近看古裝玄幻大戲太多，你忍忍就好。）

從目前來看，有99%的勒索病毒來源于電子郵件的傳播，犯罪者往往能夠抓住公眾或者目標受眾所關心的話題，打著“最新消息”、“中獎”、“緋聞探秘”、“免費送iPhone”等旗號引誘用戶點擊病毒鏈接，誘使用戶下載執行惡意程序，從而加密用戶數據、文件乃至分區等等，對受害者實施敲詐勒索，有些勒索甚至危及性命。

據綠盟科技提供給雷鋒網的一份資料顯示，

勒索軟件正在向大數據/云計算/物聯網等平臺擴散！

綜合 Datto 和 SentinelOne 的數據來看，勒索軟件事件普遍發生在醫療、交通、政府、酒店等行業，并開始有向 IOT、工控，以及公有云領域擴散的趨勢。

對勒索軟件的作者而言，哪種方式能夠得到更多勒索贖，哪種方式更容易黑入，他們就會潛入。這意味著，你要是給他一根棍子，他都敢翹起地球！哦不，是利益足夠大，都敢勒索一個國家！

我們來看看勒索軟件的進階版手段。

1.勒索軟件大量利用漏洞進行滲透

勒索軟件慣用伎倆是利用漏洞進行惡意軟件安裝，出現新的漏洞利用時，勒索軟件的作者會立刻進行相應更新，這樣就能感染到更多的設備，會有更多受害者，也就有更多贖金的可能。是的，他們很“勤奮”。

2.漏洞方式不靈就用釣魚作為突破手段

  “ GoldenEye ”是勒索軟件 Petya 的一個變種系列，惡意宏代碼可執行、加密計算機上的文件。加密完成后，代碼會修改主引導記錄（ MBR ），重新啟動電腦并加密磁盤文件。此類釣魚郵件專門針對人力資源部門，HR需要大量打開陌生人的電子郵件和附件去了解求職者情況的特性就讓不法分子鉆了空子。

通常，釣魚郵件中包含兩個附件，其中一個附件是正常的 PDF 求職信，目的是為了迷惑受害者讓她相信這確實是一個求職者。此后，受害者會打開另外一個帶有惡意宏功能的 Excel 文件。 Excel 會顯示一個正在加載的圖片并請求受害者啟用內容，以便繼續加載宏文件。一旦受害者單擊“啟用內容”宏內的代碼將被執行并啟動加密文件進程，使受害者無法訪問文件。

勒索軟件“ GoldenEye ”會以 8 個字符的隨機擴展名加密文件，所有文件加密后，將會顯示一個勒索信“你的文件已被加密.txt”。

3.  用戶中招后往往是付了贖金還被撕票

黑客攻破主機，通常會加密鎖定用戶的關鍵文件、文件夾等（比如Windows的用戶目錄、My Documents、相片、工作有關的docx/xlsx等），讓受害者不能訪問，并向受害者發出或者留下勒索信息，勒索的贖金通常通過比特幣來支付，通常是半個到1個比特幣。從調研數據來看，接近一半的受害者會支付贖金想要恢復數據，但不幸的是四分之一的受害者依然得不到恢復——“付贖金，依然被撕票”。

RSA 會議中來自于 Stanford University 的 CISO 、Datto 的 Chief Technology Officer、SentinelOne 的 Chief of Security Strategy、DataGravity 的 CISO 等專家一致表示當前針對勒索軟件的防護沒有“銀彈”，是一個系統化的工程，重點是：

1、需要從人員的安全意識培訓入手，降低人為引入的威脅。

勒索軟件大多通過釣魚郵件方式撒網，用戶不小心接收打開后中招。所以，提高用戶的安全意識很重要。從源頭上進行的防護。

2.做好數據備份與持續更新，在關鍵時刻可以發揮作用。

備份需要3-2-1的原則：至少3份拷貝，存放在2個地方（異地備份），1個離線備份。事實上，還出現過這種“意外”，個別用戶做了備份，卻是在線的，結果也被勒索軟件一起給加密了。

3.保證操作系統更新到最新的版本，降低受攻擊的可能性。

4.應用防病毒、未知威脅檢測等技術對勒索軟件進行檢測與防護。

綠盟科技認為：

安全意識不是簡單一次兩次培訓就能提升的，它需要一個較長的時期來滲透，所以用“培養”更為貼切些。

于是，他們對雷鋒網表示——咬咬牙，通過自定義郵件模擬最新的勒索變種，定向了解單位某部門或某部分員工的意識形態，再通過反復測試的方式，輔助以安全教育，提升安全警惕性和辨別能力，防患于未然。

對于那種特別狡猾的勒索軟件，比如往往攻擊者為了躲避查殺，會繞開“已知”想盡各種“未知”招數。這時，動態分析引擎就起到決定性作用，它會在系統中動態跟蹤目標樣本的執行動作，一旦“不軌”，立刻“抓獲”。

近期，部分黑客組織針對ElasticSearch、MongoDB、Hadoop集群等大數據平臺進行了勒索攻擊。統計結果顯示，已有至少34000多臺MongoDB數據庫被黑客組織入侵。超過了2711臺ElasticSearch服務器受到黑攻擊，數據庫中的數據均被黑客加密并索要贖金。

對于這些攻擊大數據平臺，與時俱進的勒索軟件，綠盟科技認為，還得緊急補上一招：開發相應安全評估系統，敵變我也變！

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。